package com.hmall.gateway.util;

import cn.hutool.core.exceptions.ValidateException;
import cn.hutool.jwt.JWT;
import cn.hutool.jwt.JWTValidator;
import cn.hutool.jwt.signers.JWTSigner;
import cn.hutool.jwt.signers.JWTSignerUtil;
import com.hmall.common.exception.UnauthorizedException;
import org.springframework.stereotype.Component;

import java.security.KeyPair;
import java.time.Duration;
import java.util.Date;

/**
 * 这个 JwtTool 类主要负责 JWT 的生成和解析，具体功能包括：
 * 1、JWT 生成 2、使用 RS256 算法（RSA 签名）生成 JWT 3、包含自定义载荷字段 "user" 存储用户 ID
 * 4、设置令牌有效期（TTL） 5、生成带签名的完整 JWT 字符串
 * 6、JWT 验证 7、验证 JWT 格式有效性 8、验证签名完整性（防止篡改）
 * 9、验证令牌时效性（是否过期） 10、验证自定义载荷字段存在性
 */
@Component
public class JwtTool {

    // JWT签名器，用于生成和验证JWT签名
    private final JWTSigner jwtSigner;

    /**
     * 构造函数，注入RSA密钥对
     * @param keyPair RSA密钥对，用于JWT的签名和验证
     */
    public JwtTool(KeyPair keyPair) {

        // 创建RS256算法的JWT签名器，使用传入的密钥对
        this.jwtSigner = JWTSignerUtil.createSigner("rs256", keyPair);
    }

    /**
     * 创建JWT访问令牌
     * @param userId 用户ID，将作为JWT的payload数据
     * @param ttl    令牌有效期
     * @return 生成的JWT字符串
     */
    public String createToken(Long userId, Duration ttl) {

        // 构建JWT并设置相关信息
        return JWT.create()
                // 设置自定义载荷字段，存储用户ID
                .setPayload("user", userId)
                // 设置过期时间，当前时间加上有效期
                .setExpiresAt(new Date(System.currentTimeMillis() + ttl.toMillis()))
                // 设置签名器
                .setSigner(jwtSigner)
                // 生成并返回JWT字符串
                .sign();
    }

    /**
     * 解析JWT令牌，获取用户ID
     * @param token 待解析的JWT字符串
     * @return 从JWT中解析出的用户ID
     * @throws UnauthorizedException 当JWT无效、过期或格式错误时抛出
     */
    public Long parseToken(String token) {

        // 1. 校验token是否为空
        if (token == null) {
            throw new UnauthorizedException("token 为null，用户未登录");
        }

        // 2. 校验并解析JWT
        JWT jwt;
        try {
            // 解析JWT字符串并设置签名器用于后续验证
            jwt = JWT.of(token).setSigner(jwtSigner);
        } catch (Exception e) {
            // 解析失败，可能是格式错误或签名不匹配
            throw new UnauthorizedException("token 解析失败，可能是格式错误或签名信息不匹配", e);
        }

        // 3. 验证JWT签名有效性
        if (!jwt.verify()) {
            // 签名验证失败，可能被篡改
            throw new UnauthorizedException("token 签名认证失败");
        }

        // 4. 验证JWT是否过期
        try {
            // 验证JWT的日期有效性，包括过期时间和生效时间
            JWTValidator.of(jwt).validateDate();
        } catch (ValidateException e) {
            // 日期验证失败，通常是已过期
            throw new UnauthorizedException("token通过了签名验证，但是过期了");
        }

        // 5. 从JWT中获取用户ID载荷
        Object userPayload = jwt.getPayload("user");
        if (userPayload == null) {
            // 自定义载荷字段不存在，JWT格式不符合预期
            throw new UnauthorizedException("尝试获取token 载荷自定义载荷字段失败");
        }

        // 6. 将用户ID从Object类型转换为Long类型
        try {
            // 安全转换为Long类型
            return Long.valueOf(userPayload.toString());
        } catch (RuntimeException e) {
            // 类型转换失败，JWT中的用户ID格式错误
            throw new UnauthorizedException("尝试转换用户 ID 格式失败，用户 ID 格式可能有误");
        }
    }
}